HardenedVault 写道 "当前固件的主流方案依然是UEFI，由于技术架构设计并没有考虑其复杂的供应链生态，tianocore/EDK2的参考实现和OEM出厂实现差异过大，通过测试和逆向分析可以发现某些厂商的OEM固件中DXE模块有大量基于SMM的实现，这也是导致固件安全的高风险环节之一，因为SMM是x86平台下Host CPU的最高权限运行模式，俗称“Ring -2"，操作系统难以检测Ring 0以下的威胁的原因很简单：根本在不同维度上作战。而OEM固件的设计和实现的缺陷导致了诸多固件安全风险。通常厂商的OEM固件具备不可审计性，由于主流的OEM并不对用户开放源代码，所以源代码级别的审计是无法实现的，漏洞的审计只能依靠二进制审计或者模糊测试进行，而没有源代码对于发现后门或者具有后门性质的调试特性会极高的增加成本，虽然Intel在2019年尝试以Minimum平台解决开放性的问题，但目前而言其覆盖度不及预期。

1999年冬天，洛斯阿拉莫斯国家实验室的研究员Ron Minnich发起了一个叫LinuxBIOS的项目，其目标是用自由软件去替代私有的固件，LinuxBIOS设计思路是让尽量少的代码做硬件初始化的工作，当硬件初始化完成后就加载一个基于Linux内核的执行载荷，这个项目后来更名为coreboot，今天的coreboot支持除了Linux以外的多种执行载荷，这种架构也成为了2020年代当业界重新审视固件问题和探讨”下一代“固件时的重要基础，这或许是必然性和偶然性并存所致。aultBoot 是一个专注于固件安全，可信计算以及高级防御的固件载荷执行体，其设计可以在coreboot平台上发挥出最卓越的防护效果，包括CBnT和多种ACM的开箱过程都可以基于coreboot完成，此外VaultBoot完成诸多安全特性，包括本地/远程证明，基于TPMv1.2/v2.0的全盘加密，测量启动等。"

Mozilla 正在试验将 1% Firefox 用户的默认搜索引擎设为 Bing。在大部分地区，Firefox 的默认搜索引擎是 Google，Mozilla 和 Google 在 2020 年将默认搜索引擎交易延长三年，Google 每年向 Mozilla 支付 4 到 4.5 亿美元。Google 是在 2017 年 Mozilla 与雅虎的交易结束之后成为 Firefox 的默认搜索引擎。最新的试验始于 2021 年 9 月 6 日，将一直持续到 2022 年初，大约 1% 的 Firefox 用户在安装时会注意到默认搜索引擎改变了。Firefox 用户可以选择更改默认引擎，而不想参与试验的用户可以修改设置——在地址栏输入 about:preferences#privacy，禁用“Allow Firefox to install and run studies”。

huzheng 写道 "见：

http://reciteword.sourceforge.net

捐赠给胡正：

http://www.huzheng.org/donate.php"

波士顿动力的机器狗 Spot 正成为现代起亚汽车工厂的保安。现代公司最近收购了波士顿动力的控股权。Spot 将在起亚工厂内巡逻，远程调查工业区，在问题发生之前发现它们。Spot 配备了新的热像仪和 3D 激光雷达，能识别高温机器附近的人员，它有可能在人类之前识别火灾隐患。机器狗也能被人类操作员远程控制，能对潜在隐患发出警报，通知工厂管理人员。现代公司还计划让机器人在夜间陪同巡逻。该公司认为机器人能在安全领域发挥巨大作用，Spot 在测试之后有可能部署到现代的其它工厂。

抖音微信公号声明宣布将限制青少年使用其应用。14 岁以下实名用户将进入青少年模式，每天只能使用 40 分钟，每天晚上 10 点至次日 6 点无法使用。如果是 14 岁以下还没有实名的用户，抖音建议家长帮助孩子完成实名认证进入青少年模式，或在弹窗时主动开启青少年模式。在这之前，青少年的每周网游被限制在三小时，只允许在周末和节假日短时间玩游戏。

亚马逊证实它封杀了 600 个品牌的 3000 个卖家账号，原因是这些企业操纵了产品的评论。亚马逊这一波的打击始于今年五月。亚马逊在声明中称，它致力于为客户提供良好的购物体验，确保客户能放心购物，卖家可以通过良性竞争拓展业务。客户做出明智购买决策的一个核心部分是产品的评论，亚马逊对发表评论有明确政策，违反政策滥用评论功能则将受到惩罚，甚至可能采取法律行动，无论违反者身处何处。

四名平民宇航员搭乘 SpaceX 的 Crew Dragon 载人飞船于周六成功返回地面，溅落在佛罗里达卡纳维拉尔角附近海面。在回收船上，四名平民宇航员搭乘直升飞机飞往了 NASA 肯尼迪太空中心。这次任务被称为 Inspiration4，是首次纯商业载人飞行任务，由亿万富翁 Jared Isaacman 支付了全部费用，他也担任了此次任务的指挥官，其他三人是 Hayley Arceneaux，Sian Proctor 和 Chris Sembroski。任务持续了三天，每天绕地球飞行 15 圈。Inspiration4 任务的主要目的是为圣裘德儿童研究医院筹款 2 亿美元，Isaacman 个人捐赠了 1 亿美元，截至周六项目网站筹集到了另外 5380 万美元。

研究人员于 2018 年在沙特发现了一系列实物大小的骆驼雕塑，当时的估计是这些作品的创作时间距今大约 2000 年。但最新研究认为这些作品的时间距今有 7,000 到 8,000 年，其历史比巨石阵和埃及吉萨金字塔更悠久。研究报告发表在《Journal of Archaeological Science: Reports》期刊上。吉萨金字塔距今 4500 年，而英国巨石阵距今大约 5000 年。研究人员是通过化学分析和检查当地的工具痕迹去评估雕塑时间的。结果令所有人感到震惊。

英特尔准备通过 Platform Firmware Runtime Update 和 Telemetry 驱动代码为 Linux 内核引入 Seamless Update 功能，即无需重启就能更新固件。Seamless Update 针对的是数据中心和企业级客户，这些客户对停机时间有着高服务水平协议（service level agreements，SLA），而更新固件通常需要重启系统使得服务下线数分钟影响到 SLA。Seamless Update 设计在更新固件过程中不需要重启。英特尔可能会在明年发布 Xeon Scalable "Sapphire Rapids"时推出 Seamless Update。

研究人员表示，他们在摩洛哥的一洞穴中发现了人类使用衣物的最早证据。洞穴内发现了骨制工具与动物剥皮后留下的骨骼，表明这种行为至少可以追溯到 12 万年前。此项研究的第一作者、德国马克斯普朗克人类历史科学研究所的 Emily Hallett 博士表示，这项工作再次强化了非洲早期人类具有创新能力与超高智能的观点。她解释道，“由考古活动记录下的约十万年前非洲早期人类的标志性活动已经非常丰富，而我们的研究又为其写下新的篇章。” 虽然皮肤与毛皮不太可能在地质沉积层中保存十余万年，但之前对衣虱 DNA 的研究表明，衣物可能早在 17 万年前就已经出现。而这些衣物的主人很可能就是解剖学意义上居住在非洲的现代人类。最新研究进一步证明了早期人类可能会自主制作衣物的事实。Hallett 及其同事在《iScience》杂志上发表论文，报告了他们如何对摩洛哥大西洋沿岸的 Contrebandiers 洞穴中挖掘出的动物骨骼进行分析。他们发现这些骨骼相隔数十年之久，先前已经有研究显示该洞穴中存在早期人类遗骸。

SushiSwap 首席技术官表示，该公司的 MISO 平台遭到软件供应链攻击。SushiSwap 是一套社区驱动的去中心化金融（DeFi）平台，允许用户一站完成加密货币资产的交易、赚取、借出、借入及使用等操作。今年早些时候推出的最新产品 Minimal Initial SushiSwap Moffering（MISO）是一个代币启动板，允许各加密货币项目在 Sushi 网络上发布自己的代币。与需要原生区块链及实体基础设施的传统加密货币不同，DeFi 代币是一种更易于实现的替代方案，能够直接在现有区块链上运行。例如任何人都可以在以太坊区块链上创建自己的“数字代币”，且无需从零开始构建新的加密货币。 SushiSwap 首席技术官 Joseph Delong 在其 Twitter 帖子中透露 MISO 启动板的拍卖机制已遭供应链攻击劫持。化名为 AristoK3 的 GitHub 匿名合同工访问了项目代码库递交了恶意代码推送给了平台前端。攻击者在拍卖创建过程中插入了自己的钱包地址替换拍卖创建时的 auctionWallet。SushiSwap 已经要求加密货币交易所币安及 FTX 提供攻击者的记录，希望借此识别攻击者身份。币安方面表示正在调查这起事件，并提出与 SushiSwap 开展合作。攻击者共窃取了 864.8 个以太坊，价值约 300 万美元。

Google 准备对未使用的应用下杀手。该公司周五宣布将向后移植 Android 11 系统的隐私功能，将应用权限自动重置机制引入到 Android 6 及以上版本。Android 11 的应用权限自动重置功能是持续扩大的 Android 功能集的一部分，旨在自动限制用户不使用的应用。当我们在一段时间内未使用某应用时，Android 会自动剥离该应用已被授予的一切权限，从而限制它在后台跟踪您的动向或访问数据。对于不太懂技术、也不想手动组织手机内权限机制的用户来说，这项功能可谓雪中送炭。在再次打开该应用时，系统会再次请求所有权限。与大多数新 Android 功能一样，应用权限自动重置属于去年推出的 Android 11 版本的独占选项。但这一最新版本在全球 30 亿部活跃 Android 设备中只占很小一部分。目前 Google 官方 Android Studio 统计数据中 Android 11 的市场份额仍显示为 0%，这是因为该图表自 Android 11 发布以来就从来没更新过。我们收到的最后一次更新说明提到，OEM 发布 Android 11 的速度与当初推出Android 10 时差不多，因此目前 Android 11 在全部 Android 设备中的占比应该是在 10% 左右。

科学家表示，南半球的臭氧空洞大小超过平时，总面积甚至大于整个南极洲。欧盟哥白尼大气监测局（CAMS）周四表示，南半球每年春季出现的臭氧空洞在保持了一周的平均水平之后，开始呈现大幅增长之势。欧盟卫星监测服务负责人Vincent-Henri Peuch表示，“预测显示，今年的臭氧空洞经过演变已经超越以往。我们观察到一个巨大、且可能深度可观的臭氧空洞。”早在 1987 年，全球签署的《蒙特利尔议定书》明确禁止使用一种名为卤烃的含氯化学品，这种化学品被认为是加剧臭氧空洞的罪魁祸首。但专家表示，恐怕要到 2060 年代才能完全淘汰这些侵蚀臭氧层的物质。哥白尼大气监测服务中心还提到，科学家们一直在密切监测今年南极上空臭氧空洞的发展情况。目前该空洞的覆盖范围已经超过整个南极洲。“2021 年的臭氧空洞规模一度与往年相当；但过去两周臭氧空洞开始快速扩大，面积已较 1979 年春季空洞大出 75%。”哥白尼大气监测服务中心主任 Vincent-Henri Peuch 补充道，“今年春季，臭氧空洞本来完全是按预期状态发展，而且看起来与去年的情况非常相似。但到 9 月初，情况开始出现异常，并在本季度演变为面积最大、持续时间最长的臭氧空洞之一。现在我们的预测结果显示，今年的空洞将远超以往。空洞涡旋相当稳定，平流层气温甚至低于去年，因此其规模在接下来的两三周内可能会继续小幅增长。”

美国食品与药物管理局（FDA）下辖的一个独立顾问委员会以 18 票支持全票通过最新决议，计划为 65 岁以上以及其他高危人群（包括医护人员等特定职业以及存在某些健康问题的易感染者）额外注射医疗加强针。议案建议在完成两针常规辉瑞/BioNTech 疫苗注射之后，至少等待六个月再给予加强剂。如果 FDA 方面通过这项决议，则将根据紧急使用授权向这两类人群提供加强剂注射服务。而就在此次投票之前，该委员会刚刚以 16 票对 2 票的压倒性多数否决了向 16 岁及以上人群全面提供加强针的建议。

天文学新闻网站上发布了一系列帖子，提到一位业余天文学家 9 月 13 日 22:39:30 UT 左右发现了木星表面的新撞击活动。每个记录下的类似案例，都提高了对于太阳系内部空间究竟有多少天体，特别是地球在一年、十年或者一百年周期之内受到撞击的概率有了更明确的认识。SpaceWeather.com 发布了一幅撞击图像（其中部分图像「翻转」至「空中」视角，是因为天文望远镜有时会为了减少反射而生成倒置图像）。虽然我们对撞击方的具体尺寸还难以准确估量，但目前的估计是最小数公斤，最大可能达到数吨。天文学家主要根据撞击闪光持续的时间长短来进行判断，这些发现对于评估内太阳系潜在撞击天体数量非常有用。Sky and Telescope 报道，至少 7 名观察者独立记录到了闪光，目前粗略估计撞击物大小可能达到 100 米。

随着化石燃料带来的全球碳排放不断加剧日益严重的气候变化问题，能源企业开始将重点转向可再生能源，探索新的燃料来源。来自瑞士的 Synhelion 公司就是其中之一，他们利用太阳能将收集到的二氧化碳转化为合成燃料，由此拿出一套绿色可持续的能源转化解决方案。这套体系的设计思路相当出彩，Synhelion 使用摆满定日镜的镜场来反射太阳能辐射，之后将辐射集中在太阳能接收器中，由此实现高达 1500 摄氏度的清洁高温放热过程。接下来产生的热量会在热化学反应器中对二氧化碳和水的混合物进行转化。终产物气体随后通过气转液技术过程被转化为汽油、柴油或航空燃料。这种方法的可持续优势在于，他们的热能储存（TES）方案能够在每轮过程之后收集多余的热量以重复利用，从而保持 24/7 全天候运行。作为项目的核心，太阳接收器到底是如何运作的？该公司表示，这项技术的灵感来自大自然。为了达到超高温，太阳能接收器模仿了地球上真实存在的温室气体效应。他们在暗室中注满温室气体，一般是水蒸气或水与二氧化碳的混合物。他们将定日镜收集到的太阳辐射引入暗室，暗室的黑色表面会吸收热量、热化并传导热辐射能。温室气体由此吸收热辐射，充当传热流体（HTF），之后即可转化为任意类型的液态燃料。液态燃料易于运输，因此在使用成本方面低于固态燃料。当没有太阳时，HTF 就会以相反的方向流经 TES 以恢复之前储备的热能。存储的热 HTF 就会继续驱动反应器中的热化学过程，让整个系统继续如常运作。

最新研究表明，Telegram 正越来越多替代暗网，成为众多网络犯罪分子购买、出售及共享被盗数据与黑客工具的中心平台。网络情报组织 Cyberint 与英国《金融时报》联合发起的一项调查发现，目前一个不断膨胀的黑客网络受易于使用和管理宽松的吸引正在这个流行消息传递平台上共享泄漏数据，有时候是在有数万订阅者的发布频道。在多数情况下，其中发布的内容已与暗网市场非常相似。所谓暗网，是指在黑客群体中受欢迎且只能使用特定匿名软件访问的隐藏网站。Cyberint 网络威胁分析师 Tal Samra 表示，“我们最近观察到，网络犯罪分子的 Telegram 使用量增长了 100% 以上。”“Telegram的加密消息服务在实施欺诈活动及出售被盗数据的攻击者当中越来越受欢迎，而且整个使用体验要比暗网方便得多。”今年早些时候，就在 Facebook 旗下同类产品 WhatsApp 调整隐私政策之后，大量用户纷纷出逃、涌向其他加密聊天应用，恶意活动也由此升温。Telegram 诞生于 2013 年，允许用户通过“频道”向订阅者播报消息，也可以创建面向其他用户的公共与私人群组。用户还可以直接通过该应用发送及接收大型数据文件，包括文本及 zip 等格式。

宇宙学家发现了第二种暗能量的信号——这种无处不在但却难以捉摸的神秘物质正在推动宇宙的加速膨胀。从此次掌握的线索来看，暗物质很可能在宇宙大爆炸之后的 30 万年之内就已经出现。上周发布在 arXiv 预印本服务上的两项独立研究分析了智利阿塔卡马宇宙望远镜（ACT）在 2013 年至 2016 年期间收集到的数据，并探测到这种“早期暗能量”的初步活动痕迹。如果发现得到证实，可能有助于解决围绕早期宇宙数据的一大难题，即观测数据似乎与当前能实际测量到的宇宙膨胀率不匹配。但目前得出的只是初步结论，还无法确认是否真的存在这种新的暗能量形式。巴黎天体物理研究所的宇宙学家 Silvia Gall i指出，“我们有必要以谨慎的态度审视这一全新物理学发现。”两篇预印论文作者——一份由 ACT 团队发表，另一份由独立小组发布——承认现有数据还不够强大，无法以高置信度证明早期暗能量的存在。但他们表示，来自 ACT 及另一天文台的南极望远镜提供的进一步预测数据有望给出更有力的支持。ACT 团队论文合著者、哥伦比亚大学宇宙学家 Colin Hill 表示，“如果一切得到证实，如果早期宇宙确实存在早期暗能量特征，那我们应该可以观测到相应的强信号。”

苹果与 Google 周五在俄罗斯下架了一款旨在协调周末议会选举反对票信息的应用。这不仅对反普京群体是个巨大的打击，同时也体现出硅谷在帮助世界各地异见人士反抗镇压方面的局限性。 俄罗斯当局宣称这款应用为非法，并威胁要起诉苹果和 Google 在俄罗斯的当地员工。这代表着俄罗斯政府互联网审查正在全面升级。一位知悉 Google 内情的消息人士表示，俄方甚至明确提到个人起诉对象，要求 Google 尽快下架该应用。 由于担心激怒俄罗斯政府，这位消息人士拒绝透露姓名。Google 在俄罗斯国内有 100 多名员工。苹果没有置评。这款应用是由反对党领袖 Aleksei A. Navalny 的盟友开发并进行推广，他们希望通过这款应用巩固俄罗斯全部 225 个选区内的反对派投票。在投票正在进行中，应用从两大科技巨头的平台上消失了。普京领导的统一俄罗斯党似乎在这套精心设计的系统当中占据了绝对优势。Navalny 团队对这样的决定表示极为愤怒，认为 Google 和苹果等公司对俄罗斯做出了软弱的让步。Navalny 的助手 Ivan Zhdanov 在 Twitter 上表示，“从商店中删除 Navalny 应用是一种可耻的政治审查行为。俄罗斯的威权政府和宣传机器倒是很愿意看到这样的结果。”两大科技巨头的决定也引起了西方言论自由活动人士们的严厉谴责。负责调查言论自由问题的前联合国官员 David Kaye 在采访中表示，“这些企业确实面对着巨大的压力，但职责所在就应当挺身而出。他们实际上就是在帮助俄罗斯执行镇压行动。无论是否合理，他们在事实上都成了俄罗斯政府的同谋，需要对此做出解释。”

罗尔斯·罗伊斯（Rolls-Royce）开发的“Spirit of Innovation”全电动飞机成功完成 15 分钟首飞，标志着“密集飞行测试阶段的正式开始，”该公司宣布，“将收集关于飞机上电力与推进系统的重要性能数据。” 罗尔斯·罗伊斯表示，这款单座飞机拥有“专为机体组装、达到当前最高功率密度的电池组”。该飞机使用 6000 节电池组与三电机动力系统，目前可提供 400 千瓦（超过 500 马力）功率。劳斯莱斯表示，飞机最终飞行速度将超过 300 英里/小时。本次进行的首飞已经比最初的计划晚了约一年，甚至比滑行测试都晚了六个月。据罗尔斯·罗伊斯与制造厂商 Tecnam 介绍，两家公司将合作开发空中出租车，希望为通勤市场提供“全电动客机”方案。在此之前，罗尔斯·罗伊斯还曾与西门子及空客公司合作开发过另外一款概念电动飞机。该项目中的半数资金由航空航天技术研究所及英国政府资助，目标是最终制造出纯电动客机。罗尔斯·罗伊斯 CEO Warren East 表示，“这不只是为了打破世界纪录；为该项目开发出的先进电池与推进技术有望在城市空中交通市场上带来令人振奋的应用，最终让零喷气飞行器成为现实。”